Sicherheitslücke in der IT 04.06.2019, 07:00 Uhr

Hacker könnten Staubsauger-Roboter zur Spionage nutzen

Informatiker der TU Darmstadt haben festgestellt, dass die Software von Staubsauger-Robotern nicht immer ausreichend geschützt ist. Hacker könnten sie knacken und die Geräte fernsteuern oder über sie Daten aus dem Haushalt sammeln.

Tesvor-Gerät bei der Analyse

Bei der Sicherheitsanalyse an der TU Darmstadt hat der Staubsauger-Roboter von Tesvor schlechte Noten erhalten.

Foto: Markus Miettinen / System Security Lab

Das Internet der Dinge (Internet of Things – IoT) macht das Leben in vielerlei Hinsicht leichter. Geräte arbeiten nicht nur autonom, sie verbinden sich auch miteinander und sammeln Informationen, die ihre Effektivität erhöhen. Gleichzeitig ist es in vielen Fällen möglich, Heizung, Kühlschrank, Staubsauger & Co. aus der Ferne anzusteuern. Dem Komfort steht allerdings ein Risiko gegenüber, über das sich viele Verbraucher gar nicht im Klaren sind: Nicht immer ist die Technik ausreichend gegen Angriffe von Hackern geschützt. Das haben jetzt Wissenschaftler der TU Darmstadt gezeigt. Beim Staubsauger-Roboter Tesvor X500 haben sie eine Schwachstelle in der Software entdeckt. Nach Aussage der Forscher wäre es dadurch sogar möglich, die Geräte fernzusteuern und Informationen, etwa über den Grundriss der Wohnung, abzurufen.

Fernsteuerung für Staubsauger-Roboter: Komfortabel und gefährlich

Staubsauger-Roboter sollen eigentlich nur Staub saugen. Die Technologie hat sich aber in den letzten Jahren erheblich weiterentwickelt. Bei den ersten Modellen war es noch ein typischer Anblick, dass sie so lange gegen dasselbe Tischbein fuhren, bis der Akku leer war. Heute verfügen die meisten Staubsauger-Roboter über eine ausgefeilte Technik mit zahlreichen Funktionen, die ihre Arbeit besonders effizient gestalten sollen. Zur Ausstattung gehören beispielsweise oftmals verschiedene Sensoren sowie eine integrierte Kamera. Beides nutzen die Roboter, um Daten über die Wohnung zu sammeln. Mit diesem virtuellen Grundriss können sie sich besser durch die Räume bewegen – ohne versehentlich einen Bereich doppelt zu reinigen.

Top Stellenangebote

Zur Jobbörse
RHEINMETALL AG-Firmenlogo
Verstärkung für unsere technischen Projekte im Bereich Engineering und IT (m/w/d) RHEINMETALL AG
deutschlandweit Zum Job 
MB Global Engineering GmbH & Co. KG-Firmenlogo
Projektleiter Elektrotechnik (m/w/d) MB Global Engineering GmbH & Co. KG
Darmstadt Zum Job 
Nitto Advanced Film Gronau GmbH-Firmenlogo
Projektingenieur (m/w/d) im Bereich Maschinen- und Anlagentechnik Nitto Advanced Film Gronau GmbH
Gronau Zum Job 
Städtische Wohnungsgesellschaft Eisenach mbH-Firmenlogo
Bauingenieur Hochbau / Architekt (m/w/d) Städtische Wohnungsgesellschaft Eisenach mbH
Eisenach Zum Job 
IT-Consult Halle GmbH-Firmenlogo
Trainee SAP HCM / Personalwirtschaft (m/w/d) IT-Consult Halle GmbH
Halle (Saale) Zum Job 
Regierungspräsidium Freiburg-Firmenlogo
Bachelor / Dipl. Ing. (FH) (w/m/d) der Fachrichtung Wasserwirtschaft, Umwelt, Landespflege oder vergleichbar Regierungspräsidium Freiburg
Freiburg im Breisgau Zum Job 
Dorsch Gruppe-Firmenlogo
Projektleiter (m/w/d) Tragwerksplanung mit Perspektive auf Fachbereichsleitung Dorsch Gruppe
Wiesbaden Zum Job 
Clariant SE-Firmenlogo
Techniker* für Automatisierungstechnik Clariant SE
Oberhausen Zum Job 
Die Autobahn GmbH des Bundes, Niederlassung Südbayern-Firmenlogo
Projektingenieur für Brückenbau / Tunnelbau / Ingenieurbau (w/m/d) Die Autobahn GmbH des Bundes, Niederlassung Südbayern
München Zum Job 
Die Autobahn GmbH des Bundes-Firmenlogo
Bauingenieurin oder Bauingenieur in der Schlichtungsstelle (w/m/d) Die Autobahn GmbH des Bundes
Hannover Zum Job 
Big Dutchman International GmbH-Firmenlogo
Ingenieur / Techniker / Meister (m/w/d) Big Dutchman International GmbH
Vechta Zum Job 
BOGE KOMPRESSOREN Otto Boge GmbH & Co. KG-Firmenlogo
Entwickler / Konstrukteur für die Verdichterentwicklung (m/w/x) BOGE KOMPRESSOREN Otto Boge GmbH & Co. KG
Großenhain Zum Job 
Griesemann Gruppe-Firmenlogo
Ingenieur Verfahrenstechnik / Prozessingenieur (m/w/d) Griesemann Gruppe
Wesseling, Köln Zum Job 
Energieversorgung Halle Netz GmbH-Firmenlogo
Fachingenieur Netzbetrieb Strom (m/w/d) Energieversorgung Halle Netz GmbH
Halle (Saale) Zum Job 
über ifp | Executive Search. Management Diagnostik.-Firmenlogo
COO (m/w/d) über ifp | Executive Search. Management Diagnostik.
Norddeutschland Zum Job 
Hamburger Wasser-Firmenlogo
Ingenieur/Referent (m/w/d) Vergabe Ingenieur-/ Bauleistungen Hamburger Wasser
Hamburg Zum Job 
Möller Medical GmbH-Firmenlogo
Industrial Engineer (m/w/d) Möller Medical GmbH
Fulda Zum Job 
THU Technische Hochschule Ulm-Firmenlogo
W2-Professur "Elektrifizierte Fahrzeugantriebssysteme" THU Technische Hochschule Ulm
Ulm Zum Job 
MÜNZING CHEMIE GmbH-Firmenlogo
Prozessoptimierer (m/w/d) für die chemische Industrie MÜNZING CHEMIE GmbH
Elsteraue Zum Job 
Energieversorgung Halle Netz GmbH-Firmenlogo
Projektingenieur - Fernwärme/Energietechnik (m/w/d) Energieversorgung Halle Netz GmbH
Halle (Saale) Zum Job 

Das klingt sinnvoll und ist besonders komfortabel, wenn der Nutzer die Funktionen aus der Ferne in Gang setzen kann. Spontan hat sich Besuch angesagt? Dann tippt der Besitzer des Staubsauger-Roboters einfach auf seine Smartphone-App und lässt zu Hause noch mal eben schnell durchsaugen. Genau diese Fähigkeit bietet Hackern aber unter Umständen eine große Angriffsfläche. Den Sicherheitsforschern der TU Darmstadt ist es bei mehreren Staubsauger-Robotern gelungen, Sicherheitslücken zu entlarven. Unter anderem spielten sie bei einem Modell der Firma Mi Robot ein schädliches Update auf. Dem Staubsauger-Roboter Tesvor X500 könnten Hacker gemäß der Testreihe der Forscher sogar den kompletten Grundriss der Wohnung entlocken. Außerdem wird der Status des Gerätes für sie sichtbar. Da die meisten Verbraucher einen Staubsauger-Roboter seine Arbeit machen lassen, wenn sie selbst nicht zu Hause ist, ist diese Information sehr sensibel.

Adresscode ist zu leicht zu knacken

Tesvor X500 gehört mit einem Preis von knapp 200 Euro zum unteren Preissegment und kann problemlos online bestellt werden. Allerdings beschränkt sich die vorhandene Sicherheitslücke nicht auf dieses Modell, sondern bezieht sich nach Angabe der Wissenschaftler auf alle Saug- und Wischroboter dieses Herstellers.

Ein Hacker braucht demnach nicht mehr als die sogenannte MAC-Adresse, um das Gerät fernzusteuern und Daten abzurufen. Bei der MAC-Adresse handelt es sich um lange Zahlenfolge, über die sich ein elektronisches Gerät eindeutig identifizieren lässt. Für einen potenzielle Angreifer ist es dabei kein Problem, die MAC-Adresse zu knacken. Er muss lediglich verschiedene Nummernfolgen aus dem Adressbereich des Herstellers ausprobieren. Eine entsprechende Software spielt die Varianten sogar automatisch durch.

Zertifikat fehlt bei der Auslieferung

Als Backend nutzt der Staubsauger-Roboter von Tesvor „Amazon Web Services (AWS) Internet of Things (IoT)“. Mit dieser App kann der Nutzer das Gerät steuern. Als Authentifikation reicht jedoch die MAC-Adresse aus. Weitere Sicherheitsmaßnahmen wie eine Zugriffsbeschränkung sind nicht installiert. Entsprechend einfach sei es für einen Hacker, den Code zu knacken.

Ein weiteres Sicherheitsproblem komme hinzu. Normalerweise benutzt die App AWS IoT Zertifikate des Herstellers. Sie werden benötigt um, Authentizität und Vertraulichkeit in der Kommunikation zwischen Gerät und Cloud sicherzustellen. Wird das Gerät mit einem individuellen Zertifikat ausgeliefert, kann es dementsprechend schon bei der Einrichtung eine geschützte Verbindung aufbauen. Das sei bei Tesvor aber nicht der Fall. Die Roboter gelangen ohne Zertifikat zum Kunden und rufen es bei der erstmaligen Aktivierung vom Server des Herstellers ab. Das ermöglicht eine sogenannte Man-in-the-Middle-Attacke. Dabei wird das Zertifikat, vereinfacht gesagt, von einem Mithörer zwischen Roboter und Server abgefangen.

Die Wissenschaftler haben das Unternehmen auf die Sicherheitsprobleme hingewiesen. Nach eigener Aussage aber bislang noch keine Antwort erhalten.

Mehr Beiträge zum Thema IT-Sicherheit:

Ein Beitrag von:

  • Nicole Lücke

    Nicole Lücke macht Wissenschaftsjournalismus für Forschungszentren und Hochschulen, berichtet von medizinischen Fachkongressen und betreut Kundenmagazine für Energieversorger. Sie ist Gesellschafterin von Content Qualitäten. Ihre Themen: Energie, Technik, Nachhaltigkeit, Medizin/Medizintechnik.

Themen im Artikel

Empfehlung der Redaktion

Fertigung

PC-basierte Steuerungen setzen sich durch
Roboter der Smart Automation Industrie
Ranking

Die 10 größten Fabriken der Welt
Roboter in einer Autofabrik
Interview zu Industrie 4.0

„Der Automatisierungsgrad hat in der Flexibilität seine Grenzen“
Lernen von der Natur

Quallen gehören zu den effizientesten Schwimmern im Meer
Interview zu Industrie 4.0

„Der Automatisierungsgrad hat in der Flexibilität seine Grenzen“

Ähnliche Artikel

Ausblick

Digitalisierung, smarte Arbeitswelt, KI: die Trends 2021 in der Industrie
Unterwasser-Roboter
Unterwasser-Roboter

Roboterpinguin Quadroin soll mit Hilfe von KI die Meere erkunden
Hand auf Computertastatur mit Monitor im Hintergrund
Browser-Schnittstelle ist das Problem

IT-Sicherheitslücke gefunden: Forschende simulieren Angriffe
Symbolbild Cybersicherheit
Cybersecurity

Siemens sorgt für mehr Sicherheit bei der Industrie 4.0

Top 5 Automation

Zu unseren Newslettern anmelden

Das Wichtigste immer im Blick: Mit unseren beiden Newslettern verpassen Sie keine News mehr aus der schönen neuen Technikwelt und erhalten Karrieretipps rund um Jobsuche & Bewerbung. Sie begeistert ein Thema mehr als das andere? Dann wählen Sie einfach Ihren kostenfreien Favoriten.

Jetzt anmelden

Auch auf dieser Seite werden Cookies verwendet. Wir können damit die Seitennutzung auswerten, um nutzungsbasiert redaktionelle Inhalte und Werbung anzuzeigen. Das ist für uns wichtig, denn unser Angebot finanziert sich über Werbung. Die Nutzung der Seite gilt als Zustimmung zur Cookie-Nutzung. Weitere Infos